Комментарии 5
Астрологи объявили месяц фейлов NPM...
/fun/
Они снова сломали NPM, сволочи…
Они снова сломали NPM, сволочи…
Да, мы устанавливаем сторонние пакеты на свой страх и риск. Странно, если было бы подругому.
НЛО прилетело и опубликовало эту надпись здесь
Ничего нового они, вообще-то, не сказали — это всё было известно давно. Возможность внедрения червя тоже была известна давно. Тот Vulnerability Note вообще весьма странный, кстати.
И да, --ignore-scripts — не решение проблемы, так как малварь может выполнять нагрузку при require.
Относительно нормальным решением проблемы именно распространения червя будет 2fa для публикации пакетов, которую NPM делают.
И да, --ignore-scripts — не решение проблемы, так как малварь может выполнять нагрузку при require.
Относительно нормальным решением проблемы именно распространения червя будет 2fa для публикации пакетов, которую NPM делают.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Node.js вещает: Google инженеры нашли уязвимость в NPM скриптах